Entwurf eines Bundesgesetzes über die Informationssicherheit (ISG)

Transkript

1 Entwurf eines Bundesgesetzes über die Informationssicherheit (ISG) Erläuternder Bericht vom 26. März

2 2 Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit

3 Übersicht Information ist die Währung der Informationsgesellschaft. Die Bundesbehörden tragen die Verantwortung für den sicheren Umgang mit den Informationen, die sie oder ihre unterstellten Organisationen im Auftrag und im Namen der Schweiz bearbeiten. Um diese Verantwortung wahrnehmen zu können, müssen sie über zeitgemässe Instrumente verfügen. Die Gefahren und Bedrohungen für Informationen sind mit der Entwicklung zu einer Informationsgesellschaft komplexer und dynamischer geworden. Mehrere Angriffe auf Informationssysteme des Bundes haben aufgezeigt, dass der Schutz von Informationen Lücken aufweist. Diese Lücken, insbesondere im organisatorischen Bereich, sind auch auf unzeitgemässe oder inkohärente Rechtsgrundlagen zurückzuführen. Der vorliegende Gesetzesentwurf schafft - basierend auf international anerkannten Standards - einheitliche formell-gesetzliche Grundlagen für das Management der Informationssicherheit im Zuständigkeitsbereich des Bundes. Dabei strebt er an, den Schutz der Informationen und die Sicherheit beim Einsatz von Informations- und Kommunikationstechnologien (IKT) an die Anforderungen einer modernen, vernetzten Informationsgesellschaft anzupassen sowie Lücken und Schwachstellen des geltenden Rechts zu beheben. Kernpunkte des Entwurfs Informationssicherheit Der Begriff "Informationssicherheit" erfasst "sämtliche Anforderungen und Massnahmen, die zum Schutz der Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit von Informationen dienen, und zwar unabhängig davon, ob die Informationen elektronisch, mündlich oder in Papierform bearbeitet werden". Die bestehenden Rechtsgrundlagen für die Festlegung solcher Anforderungen und die Umsetzung von Massnahmen sind beim Bund sehr sektoriell ausgelegt, kaum aufeinander abgestimmt und oft lückenhaft. Dasselbe gilt für die organisatorischen Zuständigkeiten. So betreibt der Bund heute sowohl rechtlich also auch organisatorisch parallele Organisationen für den Datenschutz, den Informationsschutz (Schutz klassifizierter Informationen), die Informatiksicherheit, die Personensicherheit, die physische Sicherheit und das Risikomanagement. Die Praxis hat gezeigt, dass diese sektorielle Ausrichtung nicht effizient ist. Der Entwurf fasst deshalb die wichtigsten Massnahmen für den Schutz von Informationen in einer einzigen, einheitlichen Regelung zusammen. Er sieht ferner eine einzige Struktur vor, um die Belange der Informationssicherheit rechtlich und organisatorisch integral zu steuern und zu überprüfen. Institutioneller Geltungsbereich Der Umfang des zunehmend elektronischen Informationsaustauschs unter Behörden sowie zwischen Behörden und Privaten (inkl. Wirtschaft) hat stark zugenommen. Die Schutzwürdigkeit einer Information hängt aber nicht davon ab, welche Stelle oder Person sie bearbeitet. IKT-Infrastrukturen und Systeme werden zudem vermehrt untereinander vernetzt. Dadurch wird das Risiko erhöht, dass sich Angriffe sowie Bedrohungen gegen eine Behörde auf die Zuständigkeitsbereiche anderer beteiligten Behörden ausbreiten können. Es ist daher notwendig, ein einheitliches, behördenübergreifendes Sicherheitsniveau festzulegen, um einerseits das gegenseitige Vertrauen der Bundesbehörden bei der Informationsbearbeitung zu gewährleisten, andererseits aber auch, um das Risiko für alle beteiligten Behörden zu reduzieren. Vom primären Geltungsbereich des Entwurfs werden deshalb alle Bundesbehörden (die Bundesversammlung, die eidgenössischen Gerichte, der Bundesrat, die Bundesanwaltschaft, die Aufsichtsbehörde über die Bundesanwaltschaft und die Nationalbank) sowie die ihnen unterstellten Organisationen (die Parlamentsdienste, die Verwaltungen der eidgenössischen Gerichte, die Bundesverwaltung und die Armee) erfasst werden. Soweit die Kantone oder Dritte mit der Bearbeitung von Informationen des Bundes betraut werden oder Zugang zu seinen IKT-Mitteln erhalten, müssen die Vorgaben des Bundes für sie ebenfalls verbindlich sein. Risikomanagement Die Komplexität und Dynamik der Bedrohungen erfordert von den Bundesbehörden, dass sie den Fokus vermehrt auf die systematische Bewertung des Schutzbedarfs von Informationen und auf die Beurteilung der entsprechenden Risiken setzen. Dies setzt ein wirksames Risikomanagement im Bereich der Informationssicherheit sowie eine regelmässige Überprüfung der Umsetzung von risikomindernden Massnahmen voraus. Beides fehlt heute weitgehend. Deshalb initialisiert der Entwurf auch einen Prozess zur nachhaltigen und wirtschaftlichen Aufrechterhaltung der Informationssicherheit. 3

4 Klassifizierung von Informationen Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit Aufgrund der höhten Erwartungen der Bürgerinnen und Bürger an die Transparenz der Bundesbehörden legt die Vorlage die Kriterien für die Klassifizierung von Informationen des Bundes transparent fest und erhöht zudem die Schwellenwerte für die Klassifizierung. Das Öffentlichkeitsprinzip der Bundesverwaltung wird durch die Bestimmungen zur Klassifizierung in keinerlei Weise eingeschränkt. Sicherheit beim Einsatz von IKT Der Entwurf trägt der Erkenntnis Rechnung, dass die Gewährleistung der Informationssicherheit beim Einsatz der IKT seit einigen Jahren stark an Bedeutung gewonnen hat. Er legt einen Mechanismus zur Beurteilung der Kritikalität von IKT-Mitteln fest und verknüpft diese Beurteilung mit der Umsetzung entsprechender Sicherheitsmassnahmen. Der Fokus soll dabei hauptsächlich auf die Sicherheit der kritischsten IKT-Systeme und Mittel gesetzt werden. Die Vorlage verstärkt die strategische und operationelle Rolle der Behörden bei der Umsetzung von Massnahmen sowie das Auditwesen. Personensicherheitsprüfungen (PSP) Die PSP stellen in erster Linie eine Massnahme der Informationssicherheit dar. Sie werden deshalb vom BWIS in das neue Informationssicherheitsgesetz übertragen. Gleichzeitig werden bestehende Mängel der heutigen Regelung behoben und es wird eine Straffung der PSP angestrebt. Die Prüfgründe werden angepasst an die heutigen Bedürfnisse der Informationssicherheit. Es wird von drei auf zwei Prüfstufen reduziert. Die Datenerhebung wird für beide Prüfstufen angepasst. Inskünftig sollen weniger, aber risikogerechtere Prüfungen durchgeführt werden. Betriebssicherheitsverfahren (BSV) Das BSV ist anwendbar auf Unternehmen, die im Rahmen einer öffentlichen Beschaffung des Bundes mit der Ausübung sicherheitsempflindlicher Tätigkeiten beauftragt werden sollen. Es dient einerseits der Prüfung der Vertrauenswürdigkeit dieser Unternehmen und ermöglicht es andererseits, die Wahrung der Informationssicherheit während der Ausführung des Auftrags zu kontrollieren und durchzusetzen. Der Anwendungsbereich des heutigen Geheimschutzverfahrens ist auf klassifizierte Aufträge aus dem militärischen Bereich beschränkt. Mit der Vorlage wird ein einheitliches BSV eingeführt. Gleichzeitig wird eine Grundlage für die Abgabe behördlicher Sicherheitserklärungen zu Gunsten von Schweizer Unternehmen geschaffen, die sich für ausländische oder internationale Aufträge bewerben und hierfür eine nationale Sicherheitserklärung benötigen. Dadurch wird die Wettbewerbsfähigkeit dieser Unternehmen gestärkt. Unterstützung der kritischen Infrastrukturen (KI) In seiner Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken vom 27. Juni 2012 (BBl ) hat der Bundesrat den Grundsatz der Unterstützung der KI-Betreiber durch den Bund im Bereich der Informationssicherheit festgelegt. Im Rahmen der Zusammenarbeit zwischen den KI-Betreibern und dem Bund müssen die zuständigen Stellen Personendaten (Adressierungselemente im Fernmeldebereich) austauschen können, die eventuell im Zusammenhang mit administrativen und strafrechtlichen Verfolgungen und Sanktionen stehen. Der Entwurf schafft die formell-gesetzliche Grundlage, die für die Bearbeitung solcher Personendaten erforderlich ist. Vollzug Der Vollzug dieses Gesetzes soll einerseits möglichst einheitlich erfolgen; andererseits müssen die Unabhängigkeit und Organisationsautonomie der jeweiligen Bundesbehörden gewahrt werden. Der Vorentwurf berücksichtigt diese an sich widersprüchlichen Anforderungen mit drei Mechanismen: "Opting-out"-Regelung für den Vollzug: Jede Behörde vollzieht den Erlass in ihrem Bereich selbständig und erlässt entsprechendes Verordnungsrecht. Das Vollzugsrecht des Bundesrates gilt jedoch für die übrigen Bundesbehörden sinngemäss, solange und soweit sie keine eigenen Regelungen erlassen. Standardanforderungen und -massnahmen: Der Bundesrat wird ermächtigt, standardisierte Anforderungen und Massnahmen nach dem Stand der Lehre und der Technik festzulegen. Diese gelten für die anderen Bundesbehörden als Empfehlungen. Schaffung eines behördenübergreifenden Koordinationsorgans: Dieses Organ (Konferenz der Informationssicherheitsbeauftragten) dient hauptsächlich dem einheitlichen, behördenübergreifenden und risikobasierten Vollzug des Gesetzes. Es wird auch bei der Festlegung der Standardanforderungen und -massnahmen berücksichtigt. 4

5 Mit der vorgeschlagenen Lösung wird die Unabhängigkeit der Bundesbehörden beim Vollzug bewahrt. Da die Bundesbehörden den Ausführungsbestimmungen des Bundesrats nicht unterstellt werden dürfen, müssen alle minimalen Anforderungen und Massnahmen, die zwingend für alle Behörden gelten sollen, im Gesetz selbst verankert werden. In der Folge enthält das Gesetz viele Bestimmungen, die von der Normenhierarchie her normalerweise auf Verordnungsebene hätten verankert werden können. Die Vorlage bewahrt auch eine hinreichende Vollzugsautonomie für die Kantone und bestimmte Organisationen, die dem Gesetz und dem Ausführungsrecht des Bundesrats unterstellt werden. Schliesslich schafft der Entwurf die heute fehlende formell-gesetzliche Grundlage für den Abschluss von internationalen Vereinbarungen im Bereich der Informationssicherheit durch den Bundesrat. Organisation der Informationssicherheit Der Entwurf passt die Fachorganisation der Informationssicherheit an diese neue komplexe und dynamische Realität an. Dies geschieht auf zwei Organisationsebenen: Interne Organisation: Management der Informationssicherheit: Die Bundesbehörden sollen sich beim Management der Informationssicherheit nach international anerkannten, in der Praxis erprobten Fachnormen richten (z.b. DIN ISO/IEC Normen 27'001 und 27'002). Informationssicherheitsbeauftragte: Die Bundesbehörden sollen eine/n Informationssicherheitsbeauftragte/n sowie eine Stellvertretung bezeichnen, die oder der für die Steuerung aller Belange der Informationssicherheit zuständig sein wird. Übergreifende Organisation: Fachstelle des Bundes für Informationssicherheit: Bestimmte bestehende Organe sollen in einer neuen Fachstelle zusammengeführt werden, um erkannte Zuständigkeitsprobleme systemisch zu lösen und das interdisziplinäre Fachwissen zu erhöhen. Dieser Fachstelle, die unterstützend und beratend agieren soll, kommen aufgrund der Unabhängigkeit der jeweiligen Bundesbehörden im behördenübergreifenden Rahmen keine Weisungsbefugnisse zu. Das Ausführungsrecht des Bundesrats wird die Ansiedelung und die detaillierten Aufgaben der Fachstelle regeln. Konferenz der Informationssicherheitsbeauftragten: Dieses Organ dient hauptsächlich dem einheitlichen und behördenübergreifenden Vollzug des Gesetzes. Bei Bedarf sollen auch Experten aus den Kantonen, der Wissenschaft oder der Privatwirtschaft einbezogen werden. Fachstellen für Personensicherheitsprüfungen: Der Bundesrat wird zur Sicherstellung unabhängiger Prüfungen wie bis anhin mindestens zwei Fachstellen einsetzen. Fachstelle für Betriebssicherheit: Zur Durchführung des BSV muss der Bundesrat eine Fachstelle einsetzen. Auswirkungen Das Gesetz wird eine wesentliche Verbesserung des Managements der Informationssicherheit im Bund bewirken. Somit werden die entsprechenden Risiken, die teilweise auch finanzieller Art sind, reduziert. Die Praxis hat gezeigt, dass ein effizientes Management der Informationssicherheit mittelfristig sogar zu Kosteneinsparungen führen kann. Das Gesetz wird für den Bund aber auch direkte finanzielle und personelle Auswirkungen nach sich ziehen. Der Mehrbedarf kann zurzeit noch nicht sachgemäss abgeschätzt werden. Er wird in der Botschaft transparent ausgelegt. Nachfolgend sind die Hauptkostentreiber aufgeführt: die Organisation, Steuerung und Überprüfung der Informationssicherheit das verstärkte Kontroll- und Auditwesen die Personensicherheitsprüfungen das Betriebssicherheitsverfahren die Schaffung der Fachstelle des Bundes für Informationssicherheit und die Aufgaben derselben Zu beachten ist, dass das Gesetz selbst fast keine detaillierten Massnahmen festlegt und deshalb nicht direkt umsetzbar ist: Die jeweiligen Bundesbehörden müssen ihre eigenen Ausführungsbestimmungen erlassen. Massgebend für die Beurteilung der Vollzugskosten werden deshalb das von ihnen festzulegende Sicherheitsniveau sein sowie die daraus abzuleitenden organisatorischen, personellen, technischen und baulichen Massnahmen, welche sie nach sachgerechten "Kosten-Nutzen"-Analysen auf Verordnungs-, Weisungs- oder Projektebene beschliessen werden. 5

6 Die Auswirkungen auf die Kantone werden gering ausfallen. Volkswirtschaft und Gesellschaft sind vom Entwurf kaum betroffen. 6

7 Inhaltsverzeichnis Inhaltsverzeichnis 7 Erlasse, die mit Abkürzung zitiert werden 8 1 Allgemeiner Teil Ausgangslage Entwicklung der Schweiz zu einer Informationsgesellschaft Risiken der Informationsgesellschaft Aufträge des Bundesrats Kernpunkte der beantragten Neuregelung Informationssicherheit Geltungsbereich Allgemeine Massnahmen der Informationssicherheit Personensicherheitsprüfungen Betriebssicherheitsverfahren Informationssicherheit bei den kritischen Infrastrukturen (KI) Vollzug Bereiche, in denen auf eine Regelung verzichtet wird Organisation der Informationssicherheit im Bund Heutige Organisation der Informationssicherheit in der Bundesverwaltung Neuregelung der Organisation auf Stufe Bund Neuregelung für die Bundesverwaltung und weitere verpflichtete Organisationen 33 2 Erläuterungen zu den einzelnen Artikeln Bundesgesetz über die Informationssicherheit Allgemeine Bestimmungen Allgemeine Massnahmen der Informationssicherheit Personensicherheitsprüfungen Betriebssicherheitsverfahren Informationssicherheit bei kritischen Infrastrukturen (KI) Organisation und Vollzug Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit Archivierungsgesetz Bundespersonalgesetz Strafgesetzbuch Bundesgesetz über die polizeilichen Informationssysteme des Bundes Militärgesetz Bundesgesetz über die militärischen Informationssysteme Kernenergiegesetz Stromversorgungsgesetz Nationalbankgesetz 75 3 Auswirkungen Auswirkungen auf den Bund Auswirkungen auf die Kantone und Gemeinden Auswirkungen auf die Volkswirtschaft Auswirkungen auf die Gesellschaft Verhältnis zu nationalen Strategien des Bundesrates Strategie für eine Informationsgesellschaft in der Schweiz Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) Nationale Strategie zum Schutz kritischer Infrastrukturen (SKI-Strategie) 77 4 Rechtliche Aspekte Verfassungsmässigkeit Vereinbarkeit mit internationalen Verpflichtungen der Schweiz Erlassform Delegation von Rechtsetzungsbefugnissen 79 7

8 Erlasse, die mit Abkürzung zitiert werden AnlageschutzG Bundesgesetz vom 23. Juni 1950 über den Schutz militärischer Anlagen; SR BGA Archivierungsgesetz vom 26. Juni 1998; SR BGÖ Bundesgesetz vom 17. Dezember 2004 über das Öffentlichkeitsprinzip der Verwaltung; SR BinfV Bundesinformatikverordnung vom 9. Dezember 2011; SR BöB Bundesgesetz vom 16. Dezember 1994 über das öffentliche Beschaffungswesen; SR BPG Bundespersonalgesetz vom 24. März 2000; SR BPI Bundesgesetz vom 13. Juni 2008 über die polizeilichen Informationssysteme des Bundes; SR 361 BGG Bundesgerichtsgesetz vom 17. Juni 2005; SR BV Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999; SR 101 BWIS Bundesgesetz vom 21. März 1997 über Massnahmen zur Wahrung der inneren Sicherheit; SR 120 DSG Bundesgesetz vom 19. Juni 1992 über den Datenschutz; SR FHG Bundesgesetz vom 7. Oktober 2005 über den eidgenössischen Finanzhaushalt; SR GeheimschutzVO Geheimschutzverordnung vom 29. August 1990 des VBS; SR HMG Bundesgesetz vom 15. Dezember 2000 über Arzneimittel und Medizinprodukte; Heilmittelgesetz; SR ISA CH-EU Abkommen vom 28. April 2008 zwischen der Schweizerischen Eidgenossenschaft und der Europäischen Union über die Sicherheitsverfahren für den Austausch von Verschlusssachen; SR ISchV Verordnung vom 4. Juli 2007 über den Schutz von Informationen des Bundes; SR KEG Kernenergiegesetz vom 21. März 2003; SR MG Militärgesetz vom 3. Februar 1995; SR MStG Militärstrafgesetz vom 13. Juni 1927; SR MIG Bundesgesetz vom 3. Oktober 2008 über die militärischen Informationssysteme; SR MStP Militärstrafprozess vom 23. März 1979; SR NBG Bundesgesetz vom 3. Oktober 2003 über die Schweizerische Nationalbank; Nationalbankgesetz, SR StGB Schweizerisches Strafgesetzbuch vom 13. Juni 1937; SR StPO Schweizerische Strafprozessordnung vom 5. Oktober 2007; SR StromVG Bundesgesetz vom 23. März 2007 über die Stromversorgung; Stromversorgungsgesetz; SR ParlG Parlamentsgesetz vom 13. Dezember ; SR PSPV Verordnung vom 19. Dezember 2001 über die Personensicherheitsprüfungen; SR PSPVK Verordnung vom 9. Juni 2006 über die Personensicherheitsprüfungen im Bereich Kernanlagen; SR RVOG Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 1997; SR VGG Bundesgesetz vom 17. Juni 2005 über das Bundesverwaltungsgericht; SR VSDG Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz; SR VwVG Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren; SR ZNDG Bundesgesetz vom 3. Oktober 2008 über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes; SR 121 8

9 1 Allgemeiner Teil 1.1 Ausgangslage Entwicklung der Schweiz zu einer Informationsgesellschaft Die Welt erlebt seit einigen Jahrzehnten einen fundamentalen gesellschaftlichen Wandel, der durch die sich noch laufend beschleunigenden Entwicklungen der Informations- und Kommunikationstechnologien (IKT) gefördert wird. Von den neuen Möglichkeiten, jederzeit und überall auf Informationen zugreifen und diese austauschen zu können, sind alle Bereiche der Gesellschaft betroffen: Kultur, Wirtschaft, Bildung und Forschung, Gesundheit, Verkehr und Energie, Verteidigung, usw. Diese Entwicklungen sind zugleich unvermeidliche Begleiterscheinung und unentbehrliche Bedingung für die laufende Globalisierung. Alle Gesellschaften werden vernetzter, mobiler und mehrheitlich transparenter als je zuvor. Unsere Lebensweise hat sich innert - historisch betrachtet - kürzester Zeit grundlegend verändert. Der Einsatz der IKT eröffnet der Schweiz bei ihrer Entwicklung zu einer Informationsgesellschaft vielfältige Chancen. Mit den neuen technischen Möglichkeiten und Vernetzungen sind aber auch Risiken verbunden, die nicht ignoriert werden dürfen. Informationen kann - als Währung der Informationsgesellschaft - ein hoher Wert zukommen. Der Verlust, der Diebstahl, die Preisgabe und der Missbrauch von Informationen oder die Störung der Mittel zu deren Bearbeitung können wesentliche öffentliche Interessen oder die Rechte Dritter schwerwiegend beeinträchtigen, erhebliche finanzielle Folgen nach sich ziehen und sogar die Erfüllung kritischer gesetzlicher Aufgaben des Bundes gefährden. Deuten schwere oder wiederholte Vorfälle darauf hin, dass der Bund seine Informationen nicht sorgfältig schützt, kann darunter überdies das Vertrauen der Bevölkerung und der ausländischen Partner der Schweiz in die Bundesbehörden dauerhaft leiden Strategie für eine Informationsgesellschaft in der Schweiz Der Bundesrat ist sich der grundlegenden Bedeutung der IKT für den Wirtschaftsstandort und den Lebensraum Schweiz bewusst. Bereits 1998 hat er eine Strategie für die Informationsgesellschaft in der Schweiz verabschiedet, die 2006 und 2012 aktualisiert wurde (BBl ). Er will die Chancen nutzen, welche die Anwendung von IKT bietet. Er hält aus diesem Grund fest, dass die IKT so eingesetzt werden sollen, dass sie zur Stärkung der gemeinsamen Wohlfahrt, der nachhaltigen Entwicklung, des inneren Zusammenhalts und der kulturellen Vielfalt des Landes beitragen. Die Strategie nennt die Handlungsfelder, in welchen das Innovationspotenzial der IKT besonders grosse Wirkung erzielen kann und definiert schwerpunktmässig den Handlungsbedarf für den Bund. Der Bundesrat verfolgt damit zwei übergeordnete strategische Ziele: Der Wirtschaftsstandort Schweiz wird durch den Einsatz der IKT innovativ und international wettbewerbsfähig gestaltet. Die IKT werden zum Nutzen aller Menschen eingesetzt und gestalten den Lebensraum Schweiz. Er gab im Zusammenhang mit diesem gesellschaftlichen Wandel zahlreiche Projekte in Auftrag (z.b. E- Government, E-Justice, E-Health, elektronische Geschäftsverwaltung (GEVER), usw.). Zudem erteilte er dem EJPD mehrere Aufträge zur Sicherstellung der Rechtsgrundlagen der Informationsgesellschaftsstrategie Schweiz. Aus diesen Projekten ergibt sich eine laufend komplexer und dynamischer werdende Vernetzung des Informationsaustauschs und der Systeme von Bürgern und Behörden einerseits sowie von Behörden untereinander andererseits Öffentlichkeitsprinzip der Bundesverwaltung Der Bundesrat erkannte in seiner Botschaft vom 12. Februar 2003 zum BGÖ (BGÖ-Botschaft; BBl ), dass der damals in der Verwaltung geltende Geheimhaltungsgrundsatz den Anforderungen einer effektiven demokratischen Kontrolle der Verwaltungstätigkeit durch die Bürgerinnen und Bürger nicht mehr gerecht wurde. Am 17. Dezember 2004 wurde in der Folge das Öffentlichkeitsgesetz verabschiedet. Es berechtigt jede Person, ohne besonderen Interessennachweis amtliche Dokumente einzusehen und von den Verwaltungseinheiten Auskünfte über den Inhalt amtlicher Dokumente zu erhalten. Der Grundsatz der Öffentlichkeit hat eine Tragweite, die über den rein rechtlichen Rahmen hinausgeht. Er bedeutet, dass der Staat seine Informationen im Auftrag und im Namen des schweizerischen Volkes bearbeitet. Dieses ist jederzeit berechtigt, seine Kontrolle auszuüben. Ausnahmen vom Öffentlichkeitsprinzip sind zwar möglich, werden im Gesetz aber abschliessend aufgezählt. Wird der Zugang zu einem Dokument zum Schutz von überwiegenden öffentlichen oder privaten Interessen ausnahmsweise eingeschränkt, aufgeschoben oder verweigert, muss das entsprechende Dokument aber in der Folge auch gemäss seinem tatsächlichen Schutzbedarf geschützt werden. 9

10 Open Government Data (OGD) Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit OGD ist ein Konzept, das eng mit dem Öffentlichkeitsprinzip verbunden ist und das auf die Zugänglichkeit und Wiederverwendung von Daten zielt, die im Rahmen der Verwaltungstätigkeit produziert werden. Die Veröffentlichung und freie Sekundärnutzung von Behördendaten kann wirtschaftlichen, politischen und verwaltungsinternen Nutzen stiften. In seinem Bericht vom 13. September 2013 in Erfüllung des Postulats Wasserfallen vom 29. September 2011 ("OGD als strategischer Schwerpunkt im E-Government") hielt der Bundesrat fest, dass die Abwägung von Chancen und Risiken von OGD zeigt, dass ein attraktives Potenzial für eine transparente, effiziente Verwaltungsführung und die wirtschaftliche Wertschöpfung besteht. Er beauftragte das Informatiksteuerungsorgan des Bundes (ISB) in Zusammenarbeit mit dem Bundesarchiv (BAR), die Federführung und Koordination bei der Weiterentwicklung von OGD zu übernehmen und eine schweizerische OGD- Strategie zu formulieren Risiken der Informationsgesellschaft Der Bundesrat will das Risiko reduzieren, dass der gesellschaftliche Wandel zu Nachteilen für die Bevölkerung und die Wirtschaft oder zur Verletzung von Persönlichkeitsrechten führt. Es bestehen insbesondere Risiken, die nicht primär die Auswirkungen des gesellschaftlichen Wandels (z.b. sogenannte "Digitale Gräben"), sondern die Informationen selbst sowie die vernetzte Informations- und Kommunikationsinfrastruktur betreffen. Der wahre Wert von Informationen wird bedauerlicherweise oft erst nach einem Vorfall und beim Eintreten negativer Auswirkungen erkannt. Sowohl für öffentliche Stellen als auch für Unternehmen und Privatpersonen kann der Verlust, der Diebstahl, die unberechtigte Preisgabe oder der Missbrauch von Informationen äusserst unliebsame Folgen zeitigen. Auch die Informations- und Kommunikationsinfrastruktur sowie die einzelnen IKT-Mittel, die Behörden und Unternehmen zur Unterstützung ihrer Geschäftsprozesse einsetzen, sind verwundbar. So kann der Ausfall eines Informatiksystems je nach Geschäftskritikalität erhebliche finanzielle Folgen nach sich ziehen. Wenn ein solcher Ausfall den Betreiber einer Infrastruktur betrifft, die Dienste erbringt, die für das Funktionieren der Gesellschaft, der Wirtschaft oder des Bundes unerlässlich sind (kritische Infrastruktur, KI), kann dies schlimmstenfalls katastrophale Auswirkungen, inkl. den Verlust von Menschenleben, zu Folge haben Gefahren für Informationen und IKT-Mittel Die Medien berichten fast täglich über Spionage, Angriffe, Ausfälle von IKT-Diensten und sonstige Ereignisse im Bereich der Informationssicherheit. Diese Gefahren werden auch in der Nationalen Strategie vom 27. Juni 2012 zum Schutz der Schweiz vor Cyber-Risiken (NCS; BBL , s. Ziff ) beschrieben. Für eine realistische Wahrnehmung in diesem Bereich sind drei Punkte zu beachten. Die Gefahren müssen ernst genommen werden. Fachspezialisten haben zwar oft die Tendenz, die Gefahren und ihre potenziellen Auswirkungen zu dramatisieren. Umgekehrt dürfen die Risiken aber auch nicht unterschätzt werden. Die Geldmittel und das technische Know-how, die von der organisierten Kriminalität eingesetzt werden, um online-kundendaten (insbesondere Bank- und Kreditdaten) zu stehlen oder Privatpersonen zu erpressen, mögen gross sein. Sie sind jedoch bloss winzig im Vergleich zu den finanziellen und personellen Mitteln, die von bestimmten staatlichen Akteuren eingesetzt werden, um politische, diplomatische, wissenschaftliche und wirtschaftliche Spionage zu betreiben. Gewisse Staaten verfolgen als prioritäre Massnahme gezielt Wirtschafts- und Industriespionage zur Industrialisierung und Weiterentwicklung ihrer Wirtschaft oder zur Modernisierung ihrer Streitkräfte. Ernstzunehmende Gefahren bestehen überdies nicht nur in Bezug auf den Schutz der Vertraulichkeit von Informationen. Auch die Verfügbarkeit von öffentlichen oder privaten Infrastrukturen und Diensten ist wegen deren Abhängigkeit von den IKT gefährdet. Sabotageangriffe wie der im Juni 2010 entdeckte Angriff auf iranische Urananreicherungsanlagen mittels des Schadprogramms Stuxnet mögen die meist zitierten Gefährdungsannahmen darstellen. Betriebsstörungen wegen technischen Versagens, Fehlmanipulationen oder Elementarereignissen, wie beispielsweise einem Stromausfall oder einem Brand, kommen aber deutlich öfter vor und können ebenso gravierende Auswirkungen zur Folge haben. Schliesslich darf die massenhafte Überwachung des Internetverkehrs, insbesondere durch die Kompromittierung von breit benutzten IKT-Diensten und Anwendungen sowie die systematische Korruption von Verschlüsselungsstandards nicht vergessen werden. Die jüngsten Enthüllungen über derartige Handlungen belegen, dass die Grundannahmen über die Integrität des Internets und der Basisdienste, von denen viele in Bezug auf die sichere Bearbeitung von Informationen ausgegangen waren, nicht zutreffen. Es findet ein "digitales Wettrüsten" statt. Die meisten entwickelten Länder sind sich ihrer Abhängigkeit von der Informations- und Kommunikationsinfrastruktur und der damit verbundenen Bedrohungen bewusst. Sie 10

11 setzen entsprechende Schutzvorkehrungen um. Bei weitem nicht alle Staaten verfolgen aber bloss defensive Strategien. Viele sind daran, auch offensive militärische und nachrichtendienstliche Fähigkeiten aufzubauen. Auch in der Schweiz werden nun Stimmen laut, die den Ausbau solcher offensiven Fähigkeiten fordern. Im Gegensatz zum klassischen Wettrüsten nehmen aber nicht nur staatliche oder staatlich finanzierte Akteure daran teil. Da dies nicht immer besonders kompliziert und kostspielig ist oder grössere Anlagen verlangt, arbeiten zahlreiche Informatiker, Mathematiker und sonstige technologisch versierte Personen unermüdlich an der Entwicklung neuer technischer Schutz- oder Schadprogramme. Angesichts der eingesetzten Mittel und der Heterogenität der Akteure scheint das digitale Wettrüsten erst begonnen zu haben. Diese Dynamik einzudämmen, wird eine riesige Herausforderung sein, auf die es zurzeit keine Antwort gibt, ausser dass kein Land sie allein bewältigen kann. Die enge Fokussierung auf den Bereich "Cyber" ist gefährlich. Durch die Elektronisierung der Informationsbearbeitung und die Vernetzung der Systeme zur Informationsbearbeitung, insbesondere über das Internet, sind neue Bedrohungsarten entstanden. Es ist deshalb verständlich, dass momentan der Schutz vor diesen neuen Bedrohungen im Zentrum der Aufmerksamkeit und des Handelns steht. Dies darf aber nicht dazu führen, dass der Schutz von Informationen und IKT-Mitteln auf den Schutz vor Cyber-Angriffen reduziert wird. Wesentliche Gefahren haben nämlich wenig oder nur indirekt mit dem Internet oder elektronischen Schadprogrammen zu tun. Spionage wird beispielweise immer noch mit alten Methoden ausgeübt. Zwar ist der Einsatz elektronischer Spionagemittel verhältnismässig günstiger und weniger riskant als der Einsatz von eigentlichen Spionen. Die menschliche Komponente ist jedoch für die Beschaffung hochqualitativer Informationen weiterhin unentbehrlich. Informationen werden auch heute noch zwischen Menschen mündlich ausgetauscht oder auf Papier bearbeitet. Die Risiken, die damit verbunden sind, dürfen bei den Bestrebungen zur Schaffung von Informationssicherheit nicht ignoriert werden Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) Der Bundesrat will in Zusammenarbeit mit Behörden, Wirtschaft und den Betreibern von kritischen Infrastrukturen (KI) die Cyber-Risiken, welchen diese täglich ausgesetzt sind, minimieren. Die NCS identifiziert Cyber-Risiken als Ausprägung bestehender Prozesse und Verantwortlichkeiten. Entsprechend sollen sie in bereits bestehenden Risikomanagementprozessen berücksichtigt werden. Der Bundesrat verfolgt folgende Ziele: Frühzeitige Erkennung der Bedrohungen und Gefahren im Cyber-Bereich; Erhöhung der Widerstandsfähigkeit der KI; Wirksame Reduktion der Cyber-Risiken, insbesondere der Cyber-Kriminalität, der Cyber-Spionage und der Cyber-Sabotage. Er will die Zusammenarbeit zwischen Behörden und Wirtschaft im Cyber-Bereich vertiefen und das bereits gelegte Fundament weiter stärken. Er setzt somit auf bestehende Strukturen und verzichtet auf ein zentrales nationales Steuerungs- und Koordinationsorgan, wie es derzeit in andern Ländern aufgebaut wird. Die NCS führt die Handlungsfelder und Massnahmen auf, die zur Reduktion der Cyber-Risiken auf nationaler Ebene führen sollen. Die bestehende Melde- und Analysestelle Informationssicherung (MELANI), welche diese Aufgabe in Form von Public Private Partnerships schon bis anhin wahrnahm, wurde zu diesem Zweck gestärkt. Der Bundesrat erteilte den Departementen überdies den Auftrag, auf ihrer Ebene sowie im Dialog mit den kantonalen Behörden und der Wirtschaft die Umsetzung verschiedener Massnahmen an die Hand zu nehmen. Diese reichen von Risikoanalysen zu kritischen IKT-Infrastrukturen bis hin zur stärkeren Einbringung der Schweizer Interessen auf internationaler Ebene. Für die Koordination der Umsetzung der NCS wurde im EFD eine Koordinationsstelle geschaffen. Zur Nationalen Strategie zum Schutz kritischer Infrastrukturen s. Ziff Risiken für die Bundesbehörden Die Bundesbehörden sind den in der NCS aufgeführten Gefahren ebenfalls ausgesetzt. Sie betreiben nämlich auch Informations- und Kommunikationsinfrastrukturen, deren Störung, Ausfall oder Zerstörung die Erfüllung kritischer gesetzlicher Aufgaben gefährden und somit gravierende Auswirkungen auf die Gesellschaft, die Wirtschaft oder den Staat haben kann. Der Bund bearbeitet zur Erfüllung seiner Aufgaben zudem täglich grosse Mengen von Informationen. Unter diesen Informationen befinden sich auch solche, die für die innere oder äussere Sicherheit, die internationalen Beziehungen oder die wirtschaftspolitischen Interessen der Schweiz besonders empfindlich sind und deshalb mittels Klassifizierung geschützt werden müssen. Klassifizierte Informationen sind aber nicht die einzigen Informationen, die einen erhöhten Schutzbedarf aufweisen. Spionage richtete sich zwar in der Vergangenheit hauptsächlich auf die Beschaffung von militäri- 11

12 schen und aussenpolitischen Informationen. Sie ist heute aber vermehrt wirtschaftsorientiert. Im harten globalen Wettbewerb schafft sich derjenige einen entscheidenden Vorteil, welcher sich das Wissen (Forschungs- und Entwicklungsergebnisse, Knowhow) seiner Konkurrenten verschaffen kann. Entsprechend hat Spionage in der Wirtschaft und in der Industrie, insbesondere im hochtechnologischen Bereich, seit einigen Jahren zugenommen. Gerade in diesem Zusammenhang aber stellt die Bundesverwaltung ein hochsensibles Nervenzentrum dar: Sie reguliert die Privatwirtschaft; sie prüft bestimmte Produkte und entscheidet über deren Zulassung; sie kontrolliert gewisse Unternehmen; sie beschafft selber hochwertige Produkte und Dienstleistungen, usw. Die Bundesverwaltung steht dabei in einem ständigen Dialog mit ihren öffentlichen und privaten Partnern im In- und im Ausland. Bei diesen Tätigkeiten bearbeitet sie sehr viele Informationen, die Geschäfts- und Fabrikationsgeheimnisse Dritter beinhalten. Sie kann in der Folge ins Visier derjenigen geraten, die solche Informationen beschaffen wollen. Dritte, die ihre Informationen aufgrund einer gesetzlichen Pflicht oder eines Vertrags den Bundesbehörden anvertrauen, erwarten zu Recht, dass diese auch dort zuverlässig geschützt werden. Der Bund bearbeitet überdies in grossem Umfang Personendaten. Diese dürfen nach den Vorschriften der Datenschutzgesetzgebung nur rechtmässig, zweckkonform sowie in verhältnismässigem Rahmen bearbeitet werden. Sie müssen sowohl mit organisatorischen als auch mit technischen Massnahmen geschützt werden. Bei einem Datenmissbrauch können die Persönlichkeitsrechte der Personen, deren Daten bearbeitet werden, schwerwiegend verletzt werden. Gewisse Personendaten sind ebenso gefragt wie Technologieinformationen der Industrie. Ihr finanzieller Wert sollte nicht unterschätzt werden. Es gibt einen blühenden Markt für die Beschaffung und die Bekanntgabe personenbezogener Daten. Bei schweren oder wiederholten Vorfällen, kann das Vertrauen in die Bundesbehörden ernsthaft gestört werden. Dies kann sogar soweit gehen, dass dem Bund wichtige Informationen vorenthalten werden, solange er deren zuverlässigen Schutz nicht nachweislich gewährleistet. Diese Risiken für den Bund sind nicht abstrakte, unwahrscheinliche Hypothesen. So wurde im Oktober 2009 beim EDA ein Schadprogramm entdeckt, das Spionageaktivitäten ausführte. Es gelangte via in das Netzwerk und blieb lange unentdeckt. Auf ähnliche Weise wurden in den Jahren zuvor das bundesnahe Rüstungsunternehmen RUAG und die Firma Mowag angegriffen. Nicht vergessen werden dürfen die Bedrohungen durch Mitarbeitende des Bundes. So wurde im Mai 2012 beim Nachrichtendienst des Bundes (NDB) ein schwerwiegender Datendiebstahl entdeckt. Ein Mitarbeiter des NDB speicherte grosse Mengen an sensiblen Informationen, die ihm mit seinen Berechtigungen zugänglich waren, auf entfernbare Datenträger und schmuggelte sie aus den Räumlichkeiten des Dienstes. Vor seiner Verhaftung traf der Mitarbeiter erste Vorkehrungen, um die entwendeten Daten zu verkaufen. Häufig werden auch weniger gravierende Vorkommnisse festgestellt. Diese Ereignisse reichen über Diebstahl oder Verlust von Laptops oder Smartphones, Verlust von klassifizierten Informationsträgern oder unberechtigte, meistens politisch motivierte Preisgabe von schutzwürdigen Informationen hin bis zu Betriebsstörungen wegen Server-Ausfällen, Netzwerk-Überlastungen oder fehlerhaften Software-Konfigurationen. Da die Mehrheit solcher Vorfälle entweder nicht systematisch erfasst oder mindestens nicht an die Fachorgane zur Bewertung kommuniziert wird, ist es schwierig, den Gesamtschaden für den Bund einzuschätzen Aufträge des Bundesrats Im Rahmen der Ausarbeitung des Entwurfs waren zahlreiche Aufträge, die der Bundesrat in Bezug auf die Informationssicherheit erteilt hatte, zu berücksichtigen. Nachfolgend werden nur diejenigen Aufträge aufgeführt, die einen wesentlichen Einfluss auf die Gesetzesvorlage hatten Verabschiedung der Informationsschutzverordnung und Prüfauftrag des Bundesrats Mitte 2007 verabschiedete der Bundesrat die neue Informationsschutzverordnung (ISchV). Diese ersetzte die beiden bisherigen Verordnungen aus dem zivilen und dem militärischen Bereich und verzichtete auf die ohnehin kaum mehr mögliche Unterscheidung zwischen zivilen und militärischen Informationen. Mit den darin geregelten Klassifizierungs- und Bearbeitungsvorschriften wurde zudem erstmals ein einheitliches Schutzniveau innerhalb der Bundesverwaltung festgelegt. Die mit der ISchV neu eingeführte dritte Klassifizierungsstufe INTERN ermöglichte es zudem, fortan einen Grossteil der klassifizierten Informationen einfacher zu bearbeiten. Aus dem gleichen Grund vereinfachte sich auch die internationale Zusammenarbeit, insbesondere mit der Europäischen Union. Die ISchV wurde als Übergangserlass konzipiert und ihre Geltungsdauer entsprechend befristet. Gleichzeitig mit ihrer Verabschiedung beauftragte der Bundesrat das VBS, ihm bis Ende 2009 einen Bericht über den Vollzug, die Wirksamkeit und die Wirtschaftlichkeit der ISchV zu erstatten und Antrag zur Schaffung formell-gesetzlicher Grundlagen zu stellen. 12

13 Bundesratsbeschluss über Massnahmen zur Erhöhung der Informationssicherheit in der Bundesverwaltung Der Bundesrat beschloss in der Folge des Angriffs auf die Systeme des EDA am 16. Dezember 2009 und am 4. Juni 2010 Massnahmen zur Erhöhung der Informationssicherheit in der Bundesverwaltung. Er legte dabei eine Reihe von organisatorischen und technischen Massnahmen fest, die kurz- und mittelfristig den Schutz der Informationen bei deren Bearbeitung mit Informatikmitteln der Bundesverwaltung verbessern sollen. Der Bundesrat beantragte zudem der Eidgenössischen Finanzkontrolle (EFK), den Stand der Umsetzung dieser Massnahmen zu überprüfen. Der erste Revisionsbericht der EFK wurde den Mitgliedern des Bundesrates am 2. Dezember 2011 zur Kenntnis gebracht Bundesratsauftrag zur Schaffung formell-gesetzlicher Grundlagen für den Informationsschutz bzw. für die Informationssicherheit Der vom Bundesrat bei der Verabschiedung der ISchV verlangte Bericht über den Vollzug, die Wirksamkeit und die Wirtschaftlichkeit zeigte auf, dass die von der ISchV vorgesehene Übergangsfrist bis Ende 2009 für technische Anpassungen zur Gewährleistung des Schutzes von Informationen mehrheitlich nicht eingehalten wurde. Damit bestanden erhebliche Lücken insbesondere beim elektronischen Schutz von klassifizierten Informationen. Nach Kenntnisnahme des Berichts des VBS sowie in Anbetracht der Lehren aus dem Hacker- Angriff gegen das EDA erteilte der Bundesrat am 12. Mai 2010 dem VBS den Auftrag, formell-gesetzliche Grundlagen für den Informationsschutz des Bundes auszuarbeiten. Die neue Regelung sollte insbesondere: den Geltungsbereich der Informationsschutzregelungen auf alle Personen erstrecken, die vom Bund mit der Bearbeitung geschützter Informationen betraut werden; einheitliche formell-gesetzliche Grundlagen für die Durchführung von Geheimschutzverfahren im militärischen und zivilen Bereich schaffen; eine einheitliche Vertragsschlusskompetenz des Bundesrats für internationale Vereinbarungen im Bereich des Informationsschutzes schaffen. Der Bundesrat beauftragte ferner das VBS, bei der Erarbeitung des Entwurfs zu prüfen, ob und inwieweit weitere materielle Probleme im Bereich des Informationsschutzes einer formell-gesetzlichen Regelung zuzuführen sind sowie ob die Zuständigkeiten und Verantwortlichkeiten im Bereiche der Informationssicherheit den heutigen Anforderungen genügen Bundesratsbeschluss zur Empfehlung 12 der Geschäftsprüfungskommission des Ständerats (GPK-S) im Zusammenhang mit der Libyen-Krise Die GPK-S stellte im Rahmen ihrer Prüfung des Verhaltens der Bundesbehörden in der diplomatischen Krise zwischen der Schweiz und Libyen eine Reihe von Informationsschutzproblemen fest. In ihrem Bericht vom 3. Dezember 2010 hielt sie fest, dass "derartige Ereignisse belegen, dass in Sachen Informationsschutz und Schutz von technischen Geräten in der Bundesverwaltung ein grosser Handlungsbedarf besteht, weshalb es zwingend ist, dass eine rasche Abhilfe erfolgt". Sie empfahl dem Bundesrat, "in seinem Kompetenzbereich die nötigen Massnahmen zu treffen, um inskünftig die Geheimhaltung auch auf höchster Stufe innerhalb der Bundesverwaltung gewährleisten zu können. Dabei ist auch den technischen Aspekten der den Mitarbeitenden abgegebenen Geräte eine gebührende Aufmerksamkeit zu schenken". 2 Der Bundesrat beschloss in der Folge Massnahmen, um den erkannten organisatorischen und technischen Mängeln beizukommen Ergänzung des Bundesratsauftrags Am 14. Januar 2011 setzte der Chef VBS eine Expertengruppe unter der Leitung von Prof. Dr. iur. Markus Müller, Ordinarius für Staats- und Verwaltungsrecht an der Universität Bern, ein. Er erteilte ihr den Auftrag, ein Normkonzept und darauf gestützt einen vernehmlassungsreifen Gesetzesentwurf auszuarbeiten. Die Expertengruppe unterbreitete ihr Normkonzept dem Chef VBS am 29. Juni Dieser unterrichtete den Bundesrat über die Erkenntnisse der Expertengruppe. Der Bundesrat dehnte daraufhin mit Beschluss vom 30. November 2011 den künftigen Regelungsbereich vom engen Informationsschutz auf die Informationssicher- 1 querschnittspruefungen/qp%20%2816%29/11387be_publikation.pdf 2 Bericht der GPK-S vom 3. Dezember 2010 über das Verhalten der Bundesbehörden in der diplomatischen Krise zwischen der Schweiz und Libyen, BBl Bericht der GPK-S vom 3. Dezember 2010 über das Verhalten der Bundesbehörden in der diplomatischen Krise zwischen der Schweiz und Libyen: Stellungnahme des Bundesrat vom 20. April 2011, BBl

14 heit aus. Er beauftragte zudem das VBS, die Gesetzgebungsarbeiten mit den Aufträgen zur Erarbeitung einer Cyber-Defense-Strategie sowie zur Informationsgesellschaft Schweiz zu koordinieren. Die Ausdehnung des Regelungsbereichs sowie die geforderte Koordination mit den erwähnten Projekten führten zu einer Erweiterung der Expertengruppe. Vertreten waren nun: Die BK, das EDA, das EJPD (GS, BJ, Fedpol), das VBS (GS, Armeestab), das EFD (GS, ISB, BIT), das UVEK (BAKOM), der EDÖB, die Parlamentsdienste, die eidgenössischen Gerichte und die Kantone (SIK). Der NDB wurde punktuell beigezogen Bundesratsauftrag zur Harmonisierung und Straffung der Personensicherheitsprüfungen Am 1. Februar 2012 beauftragte der Bundesrat das VBS, eine Harmonisierung und Straffung der zu überprüfenden Funktionen und der ihnen zugeordneten Prüfstufen sowie weitere Optimierungsmassnahmen mit Auswirkungen auf den Ressourcenbereich zu prüfen. Nach Kenntnisnahme des Berichts der hierfür eingesetzten IDAG PSP beauftragte der Bundesrat am 29. November 2013 unter anderem die IDAG ISG, bei ihren Arbeiten die Empfehlungen des Berichts zu berücksichtigen und soweit angemessen in den Gesetzesentwurf einzuarbeiten (s. Ziff ) Zusatzauftrag und Erweiterung zu einer interdepartementalen Arbeitsgruppe (IDAG ISG) Nach Bekanntwerden eines Vorfalls im NDB erhielt die Expertengruppe am 24. Oktober 2012 vom Bundesrat den Zusatzauftrag, einen Bericht über die Gefahren und Lücken in der Informationssicherheit in der Bundesverwaltung zu erstellen sowie Vorschläge für Sofortmassnahmen zu unterbreiten. Die Expertengruppe wurde hierauf noch einmal erweitert. Sie bildete nun, mit Vertretungen des EDI und WBF, eine IDAG. Die IDAG ISG überreichte ihren Bericht samt Empfehlungen am 29. Januar 2013 dem VBS. Daraufhin beschloss der Bundesrat am 15. März 2013, das Führungskader der Bundesverwaltung schulen zu lassen. Für die Durchführung der Ausbildungsmassnahmen ist das Eidgenössische Personalamt (EPA) federführend. 1.2 Kernpunkte der beantragten Neuregelung Nachfolgend werden der Regelungsbedarf und die vorgeschlagenen Lösungen für die Kernpunkte der beantragten Neuregelung dargestellt. Die vorgeschlagene Neurregelung der Organisation der Informationssicherheit wird getrennt erläutert (Ziff. 1.3). Zwei Bemerkungen sind eingangs erforderlich: Der Regelungsbedarf ergibt sich aus den materiellen und rechtlichen Lücken und Schwachstellen im Bereich der Informationssicherheit. Die Fokussierung auf diese Lücken könnte den Eindruck erwecken, dass alle bisherigen Vorgaben, Prozesse und Massnahmen schlecht sind. Dem ist aber keinesfalls so. Detaillierte Berichte über Lücken und Schwachstellen im Bereich der Informationssicherheit werden in der Regel klassifiziert. Aus diesem Grund kann im vorliegenden Bericht nicht auf alle Lücken und Schwachstellen näher eingegangen werden Informationssicherheit Informationen werden heute mehrheitlich in elektronischer Form bearbeitet. Ihr Schutz hängt deshalb immer mehr von den elektronischen Verfahren und Mitteln ab, mit welchen sie bearbeitet werden. Zurzeit sind bei der elektronischen Bearbeitung von Informationen aller Art wesentliche Sicherheitslücken vorhanden Technische Lücken Das VBS hat in einem Bericht zur Umsetzung, Wirksamkeit und Wirtschaftlichkeit der Informationsschutzverordnung (s. Ziff ) dem Bundesrat belegt, dass die im internationalen Vergleich eher wenig ambitiösen Vorgaben der ISchV für die elektronische Bearbeitung von klassifizierten Informationen mehrheitlich nicht eingehalten werden können, weil die dafür erforderlichen Sicherheitslösungen und -dienste heute entweder fehlen oder aus verschiedenen, insbesondere finanziellen Gründen nicht verwendet oder angeboten werden. Dies führt zu einer etwas skurrilen Situation: Mitarbeitende des Bundes, die im Privatleben ohne die erforderlichen Produkte und Verfahren, die dem aktuellen Stand der Sicherheitstechnik entsprechen, nie E- Banking betreiben würden, haben manchmal wenig Bedenken, VERTRAULICH oder sogar GEHEIM klassifizierte Informationen in ihrem Arbeitsumfeld unverschlüsselt zu speichern oder zu übermitteln. Diese Erkenntnis betrifft nicht nur klassifizierte Informationen, die bereits heute nur einen kleinen Bruchteil aller schurzwürdigen Informationen des Bundes darstellen. Ähnliche Lücken sind beim Schutz von Personendaten, von Berufs-, Geschäfts- und Fabrikationsgeheimnissen sowie von anderen Informationen, die in Bezug auf die Vertraulichkeit, Verfügbarkeit, Integrität oder Nachvollziehbarkeit geschützt werden müssen, vorhanden. Bei erhöhten Schutzanforderungen müssen besondere technische Sicherheitsmassnahmen getroffen werden. Diese setzen die vorgängige Umsetzung eines Grundschutzes der Informatiksicherheit voraus. 14

15 Ohne ein solches Fundament sind die zusätzlichen technischen Vorkehrungen leicht zu umgehen. Überprüfungen des BIT zeigen aber, dass die entsprechenden Mindestmassnahmen oft mangelhaft umgesetzt werden. Vor dem Hintergrund wesentlicher Lücken beim elektronischen Schutz von Informationen muss aber auch festgehalten werden, dass die Aufgaben derjenigen Stellen, die für die Vorgaben der Informatiksicherheit oder für deren Umsetzung zuständig sind, innert kürzester Zeit wesentlich komplexer geworden sind. Gründe dafür sind die laufenden technologischen Innovationen, die damit verbundenen neuen Gefahren und Schwachstellen sowie die zu knappen finanziellen und personellen Ressourcen Organisatorische Mängel Angesichts der Herausforderungen im technischen Bereich kündigte die Melde- und Analysestelle Informationssicherung (MELANI) bereits 2008 in ihrem Halbjahresbericht an, dass eine Neuausrichtung notwendig sei: "Aktuelle gezielte IT-Angriffe lassen sich auch mit Hilfe technischer Sicherheitsvorkehrungen sowie einer gesunden Portion Menschenverstand nicht immer erfolgreich abwehren. Deshalb ist eine Neufokussierung nötig, welche den Schutz der Information ins Zentrum rückt und nicht nur den Schutz der Computer und Netzwerke berücksichtigt. [...] Dies wird ein verstärktes Informations- und Datenmanagement, Informationsklassifizierung und dergleichen nach sich ziehen. 4 Diese Aussage ist für das Verständnis der beantragten Neuregelung zentral. Die technische IKT-Sicherheit alleine genügt nicht mehr. Bedeutend wichtiger für einen wirksamen Schutz der Informationen sind die organisatorischen Massnahmen. Organisatorische Mängel bestehen beim Bund insbesondere beim Management der Informationssicherheit sowie bei den Rechtsgrundlagen. Dass Sicherheit Chefsache ist und sich wirtschaftlich lohnt, wird in der Privatwirtschaft spätestens dann wahrgenommen, wenn ein Schadenfall eintritt und Schadenbegrenzung betrieben wird. Bei öffentlichen Verwaltungen wird Sicherheit aber häufig lediglich als Kostentreiber und Hindernis betrachtet. Grund dafür ist insbesondere die Tatsache, dass der öffentlichen Hand bei Vorfällen kein wettbewerblicher Schaden entstehen kann. Demzufolge wird in der Regel auch der Produktivitätsverlust, der z.b. durch den Ausfall von IKT-Diensten verursacht wird, weder eruiert noch mit den Kosten zur Umsetzung risikomindernder Massnahmen abgewogen. Beim Bund ist die Lage beim Schutz von Informationen nicht anders. So wird beispielweise die IKT- Sicherheit oft als rein technische Angelegenheit betrachtet und nicht als Führungsaufgabe wahrgenommen. Demzufolge hat die Führungslinie in der Regel nur wenig Verständnis für ihre Rolle im Sicherheitsprozess und die geschäftsüblichen Führungstätigkeiten (z.b. Setzung von Zielen, Kontrolle der Umsetzung oder Prüfung der Wirksamkeit von Massnahmen) finden nur selten auf den Sicherheitsbereich Anwendung. Auch die Kosten der Sicherheit können nicht transparent dargelegt werden, was eine Beurteilung der Wirtschaftlichkeit der Massnahmen (Kosten-Nutzen-Analyse) verunmöglicht. Schliesslich werden bei Vorfällen oder Verstössen gegen die Vorschriften die Verantwortlichen nur selten zur Rechenschaft gezogen. Mängel bestehen auch bei den rechtlichen Rahmenbedingungen. Die Rechtsgrundlagen für den Schutz von Informationen sind beim Bund sehr sektoriell ausgelegt, kaum aufeinander abgestimmt und oft lückenhaft. So betreibt der Bund heute sowohl rechtlich also auch organisatorisch parallele Systeme für den Datenschutz, den Informationsschutz (Schutz klassifizierter Informationen), die Informatiksicherheit, die physische Sicherheit und das Risikomanagement. Ferner ist heute die Durchführung von Personensicherheitsprüfungen (s. Ziff ) und von Betriebssicherheitsverfahren (s. Ziff ) hauptsächlich bei Personen bzw. Unternehmen vorgesehen, die klassifizierte Informationen des Bundes bearbeiten, nicht aber bei Personen, die seine kritischen IKT-Mitteln verwalten oder betreiben. Darüber hinaus sind die Rechtsgrundlagen nicht immer auf die praktischen Bedürfnisse der elektronischen Bearbeitung von Informationen abgestimmt. Beispiele: Geschäfts- und Fabrikationsgeheimnisse werden hauptsächlich durch eine Schweigepflicht (Amtsgeheimnis) für die Personen, die sie bearbeiten müssen, geschützt. Die Wahrung des Amtsgeheimnisses erfordert jedoch in einer Informationsgesellschaft mehr als nur eine persönliche Schweigeflicht. Werden Geschäfts- und Fabrikationsgeheimnisse elektronisch erfasst, müssen sie ihrem Schutzbedarf entsprechend zusätzlich organisatorisch und technisch geschützt werden. Vorgaben, wie dieser Schutz erhoben, gestaltet, umgesetzt und überprüft werden muss, fehlen aber grösstenteils. Beim Schutz von Personendaten besteht hingegen eine hohe Regelungsdichte. Das Schwergewicht liegt dabei für die Bundesbehörden aber eher auf dem Vorliegen der notwendigen Rechtsgrundlagen für die 4 MELANI Halbjahresbericht 2008/1, 15